A partir de hoy Firefox activará las DNS cifradas de Cloudflare para todos sus usuarios en EE.UU, es decir, DoH habilitado por defecto. El objetivo es ofrecer una capa de seguridad para evitar que cualquiera pueda espiar las peticiones DNS que tu navegador hace, incluyendo a tu mismo proveedor de Internet. En Firefox 73, Mozilla añadió a Cloudfare un nuevo proveedor de DoH al navegador: NextDNS. Además prometieron añadir más proveedores en el futuro y crearon políticas más estrictas que deben cumplir esos proveedores para ser usados.
|
etiquetas: firefox , activa , por defecto , dns , cifrados , usa
Es una opcion que YA EXISTE en Firefox desde hace un tiempo y como usuario eliges si la usas o no, desactivar o activar y elegir qué DNS (que soporte dns sobre https) utilizar, no tienes por que usar los que proponen.
Lo que va a cambiar es que van a activar la opcion POR DEFECTO
Lo que han hecho es facilitar con DNS over HTTPs el uso de este sistema e incorporarlo en los navegadores y próximamente en los SO, cuyo servicio viene a ser algo similar a lo que desde hace años se podía hacer utilizando un cliente DNSCrypt.
A no mucho tardar va a aparecer Quad9 en la lista, Quad9 por cierto que a mi modo de ver es mas recomendable que Cloudflare, con servidores en España y protección para webs maliciosas que estén dadas de alta en alguno de sus proveedores antimalware.
De momento se podrá desactivar, pero a ver cuándo lo hacen casi imposible (como con los chequeos de actualizaciones).
Y utiliza el caso de los nazis para demostrar que lo de ser una herramienta neutral es una excusa porque pueden tomar partido y toman partido en otras ocasiones.
Así que el compañero no está defendiendo a los nazis, sino atacando a los terroristas y a sus complices.
Es que no me gustaría tener que estar diciéndole a cientos de personas cómo configuar su navegador...
Qué buena idea, centralizar las peticiones DNS...
No estoy muy puesto, pero por lo poco que he leído, DoH no sirve para nada... excepto tocar los cojones...
Y a ver cómo se ve qué peticiones DNS hace una web o servicio (o lo que sea)... me da que es más inseguro que seguro.
Y todo sólo para evitar un MITM para peticiones DNS?...
Si no te gusta Firefox tienes Tor, Vivaldi y Brave
la idea al usar DNS over HTTPS es que el trafico va cifrado, así que tu proveedor no puede saber qúe estas preguntando
Con todo activado te saltas el bloqueo de los ISPs pero si solo activas el DNS cifrado, no consigues nada.
CC/ #1
arstechnica.com/information-technology/2020/02/firefox-turns-encrypted
En los comentarios con mas votos comentan que
1) Si firefox detecta 'enterprise policies' en el equipo no activa DoH por defecto.
2) El DNS normal se usa como 'fallback' si DoH no da respuesta.
En principio no hay que hacer nada. Aunque a futuro y si el DoH triunfa, lo suyo sera que las empresas también actualicen sus DNS internos.
No me preocupa la privacidad. Eso ya se que no existe. A ver, si tu dentro de la empresa accedes a zaraza.zaza, el DNS local lo resuelve y te funciona correctamente. Si pones google.com lo resulve externamente y funciona también.
Lo que me preocupa es que llegue el momento en que se actualice Firefox y cuando la gente ponga zaraza.zaza Firefox lo consulte contra Cloudflare, (que obviamente no sabe lo que es zaraza.zaza) y la gente empiece a quejarse de que no le funcionan las cosas. Claro, que se puede desactivar. Pero ponte tu a explicarle cómo se hace a cientos de personas a las que de un día para otro dejó de funcionarle la página de la intranet mientras la llamada en espera pita insistentemente y el Telegram no deja de avisar de mensajes nuevos.
Otro tema es si realmente esto del DoH sirve para algo. De momento las cabeceras HTTPS todavía incluyen en texto claro el hostname principal, por lo que el beneficio no es que sea mucho.
Ah, genial. Eso solucionará muchos problemas.
lo suyo sera que las empresas también actualicen sus DNS internos.
Eso no sería problema. Pero si Firefox pregunta siempre a Cloudflare, no servirá de nada.
El proveedor sigue viendo por donde navegas, eso está claro.
Y si, si le das las peticiones a una empresa pues dos cosas, o te fias de esa empresa, o te beneficias de algun servicio extra que da como filtro parental o protección malware o sigues con las DNS del proveedor ya que el proveedor ya sabe por donde navegas.
Y ahí esta el tema, encripta las peticiones DNS, que no sirve para nada mas que para lo que su propio nombre indica, encriptar las peticiones DNS.
Yo estoy con Quad9, lo que hagan con mis estadísticas, sinceramente me da igual, al menos me beneficio en todos los dispositivos de red de la protección que dan utilizando varios proveedores de seguridad.
Y, repito, según entiendo, lo único que evita es un MITM... y si alguien hace eso, tener cifradas las peticiones DNS es uno de tus menores problemas...
Completamente de acuerdo con el último párrafo... no le veo ninguna ventaja a DoH.
No hay más que ver el sistema de actualizaciones, que de hace varias versiones quitaron la opción de no chequear actualizaciones... así ellos saben qué versión tiene la gente y hacen sus estadísticas...
Cualquier avance es bueno, lo cual no quiere decir que cualquier avance deba ser usado por el 100% de los usuarios.
Yo por ejemplo, aunque Quad9 por DoH va perfectamente, voy a seguir usando el método normal de toda la vida.